Jumat, 30 Desember 2011

Angel2: Worm sebagai Facebook Hacking Tool

Angel2. Facebook merupakan  jejaring sosial yang paling banyak digemari saat ini, menjadi media bersosialisasi di dunia maya. Tetapi ada kalanya nama Facebook juga dimanfaatkan oleh sebagian orang sebagai media untuk menyebarkan malware. Yang menarik adalah
, terkadang bukan user yang secara tidak sengaja mengunduhnya kemudian menjalankan malware tersebut, tetapi justru dengan sengaja mengunduhnya kemudian menjalankannya.

A. Info File
Nama Worm : Angel2
Asal : Makasar, Sulawesi Selatan
Ukuran File : 324 KB (331,776 bytes)
Packer : ~
Pemrograman : Microsoft Visual Basic 5.0 -6.0
Icon : Malware Icon
Tipe : Worm

B. About Malware
“Download Facebook Hacking Tools” atau “How to Hack Facebook” bisa dikatakan adalahkeyword yang jika diketikkan pada search engine, akan menampikan banyak hasil yang bisa dijadikan pilihan dan mungkin akan sesuai dengan keinginan user yang membutuhkannya. Untuk sebagian virus maker, hal ini bisa dijadikan kesempatan untuk menyebarkan malware buatannya. Sama seperti Angel2 yang sampelnya kami dapatkan dari Makasar dan diduga kuat merupakan malware yang menyebar dengan memanfaatkan social engineering berupa tool untuk melakukan hacking pada Facebook.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
000000039366   000000439366      0   VS_VERSION_INFO
0000000393C2   0000004393C2      0   VarFileInfo
0000000393E2   0000004393E2      0   Translation
000000039406   000000439406      0   StringFileInfo
00000003942A   00000043942A      0   040904B0
000000039442   000000439442      0   CompanyName
00000003946A   00000043946A      0   ProductName
000000039484   000000439484      0   Trojan
00000003949A   00000043949A      0   FileVersion
0000000394C6   0000004394C6      0   ProductVersion
0000000394F6   0000004394F6      0   InternalName
000000039510   000000439510      0   Facebook Hacking
00000003953A   00000043953A      0   OriginalFilename
00000003955C   00000043955C      0   Facebook Hacking.exe
Icon Angel2 yang menyerupai permainan Angry Birds Rio ini akan semakin membuat user menjadi sedikit penasaran kemudian menjalankannya. Namanya diambil dari salah satu string yang terdapat pada tubuh malware.
C. Companion/File yang dibuat
Angle2 hanya membuat 2 buah file companion, antara lain Angel2.exe dan window.exe. Akan tetapi, dengan modul membuat file dengan nama yang sama seperti nama folder akan membuat malware ini menjadi sangat banyak.

D. Hasil Infeksi
Berbeda dengan worm yang menggandakan file dengan nama folder lainnya, Angel2 melakukan overwrite terhadap file yang sama. Dengan kata lain, jika di dalam folder Winamp terdapat winamp.exe, maka file winamp.exe yang asli akan diubah dengan file winamp.exe buatan Angel2. Maka dari itu, bisa dikatakan Angel2 adalah worm yang cukup berbahaya.

Payload yang dibuat oleh Angel2 ini cukup banyak memakan resource memory, sehingga komputer yang sudah terinfeksi akan sangat terasa lambat. Dan terbukt denga CPU Usagenya yang mencapai 100 %.
Selain memperbanyak companion, Angel2 juga melakukan injeksi serta memodifikasi entrypada registry. Berikut ini adalah beberapa value key yang dibuat.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
# Created and Modified DWord
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- DisableThumbnailCache
- Hidden
     
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
- DisableTaskMgr
- DisableRegistryTools
     
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions
     
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
- DisableCMD
     
# Modified value key in CLSID for My Computer
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
- LocalizedString = @%SystemRoot%\system32\SHELL32.dll,-8964
- InfoTip = @%SystemRoot%\system32\SHELL32.dll,-22913
     
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon
- (Default) = %SystemRoot%\System32\shell32.dll,31
     
# Modified value key in CLSID for Recycle Bin
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}
- LocalizedString = @%SystemRoot%\system32\shell32.dll,-9216
- InfoTip = @%SystemRoot%\system32\SHELL32.dll,-22915
     
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
- (Default) = %SystemRoot%\Explorer.exe,0
- Empty = %SystemRoot%\Explorer.exe,0
- Full = %SystemRoot%\Explorer.exe,0
     
# Create Value Key In Startup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- gpmce = \Angel2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- gpmce = \Angel2.exe
     
# Modified
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page = www.gpmce.net
- Search Page = www.booble.com
Hasil infeksi yang paling terlihat adalah berubahnya Icon My Computer dan Recycle Bin padaWindows Explorer, serta diikuti dengan perubahan nama pada keduanya.

E. Pembersihan

PCMAV 6.2 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.2 Update Build1 telah hadir dengan penambahan 29 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 6.2 Update Build1:
BlackLabel.drp
BlackLabel.A
BlackLabel.B
BlackLabel.C
BlackLabel.C.tmp
BlackLabel.D
BlackLabel.D.exe
BlackLabel.E
BlackLabel.F.exe
BlackLabel.F
BlackLabel.G
BlackLabel.H
BlackLabel.I
WmplayerC.lnk
Serviks.vbs.D
Serviks.vbs.D.vbe
Serviks.vbs.D.doc
Serviks.vbs.D.tmp
Persist
Angel2
NgrBot.V
NgrBot.V.drp
NgrBot.V.exe.A
NgrBot.V.exe.B
NgrBot.W
NgrBot.E.inf
Sality.drp
VB-Shortcut-1.lnk.D
VB-Shortcut-4
Diposting oleh di
Label: , , ,

Tidak ada komentar:

Posting Komentar

Berkomentarlah dengan Baik dan Tidak memasukkan Spam disini, jangan gunakan bahasa daerah!! Oke :)

By Kiki Sharings Center 2012

Langganan: Posting Komentar (Atom)